Process Monitor: Malware-Aktivitäten mit geeigneten Filtern aufdecken

Inhaltsverzeichnis

Den meisten Windows-Admins dürfte das Tool Process Monitor, kurz: ProcMon, aus Microsofts Werkzeugsammlung SysInternals ein Begriff sein. ProcMon liefert in Echtzeit eine Fülle von Informationen über laufende Prozesse und Threads. Protokolliert werden etwa Datei-, Ordner- und Registryzugriffe sowie Netzwerkaktivitäten. Mittels Filterfunktionen kann man potenzielle Fehlerquellen auf Windows-Systemen wirksam eingrenzen und aufspüren.

Mehr zum Thema Malware-Analyse:

• Flare VM: Mit Profi-Werkzeugkasten Schadcode unter Windows analysieren
• Malware-Analyse für Anfänger: Mit VirtualBox schnell & kostenlos starten
• Malware-Analyse für Anfänger: Mit Tools und Schadcode sicher umgehen
• Schadcode in einer Linux-Umgebung effizient und sicher analysieren mit REMnux
• Malware-Bedrohungen erkennen und einordnen mit Online-Analyse-Services
• Schadcode finden: Wie Sie PDF- und Office-Dateien sicher untersuchen
• Verdächtige Mailanhänge ohne Risiko untersuchen und entschärfen
• Malware auf dem Mac vorbeugen, aufspüren, loswerden
• Digitale Spuren finden: Tools für Security-Recherchen
• Sicherheits- und Incident-Management mit Wazuh
• Sicherheitsmängel in iOS-, Android- und Windows-Apps aufspüren
• any.run: Interaktive Malware-Analyse im Browser

Weniger bekannt ist, dass sich ProcMon auch wunderbar eignet, um die Funktionsweise von Schadcode nachzuvollziehen. Im Rahmen gezielter dynamischer Analysen lassen sich mit dem kostenlosen Tool beispielsweise schreibende Systemzugriffe, neu angelegte Malware-Komponenten nebst ihrer Aktivitäten sowie Verbindungsversuche zu entfernten (Command-and-Control-)Servern in Logdateien festhalten. Dank seines Monitoring-Ansatzes kommt man mit ProcMon häufig auch dann noch weiter, wenn eine starke Code-Verschleierung oder Anti-Analyse-Tricks andere Tools gegen die Wand fahren lassen.

Voraussetzung für das erfolgreiche Aufdecken und Nachvollziehen von Schadcode-Aktivitäten ist allerdings das Anwenden geeigneter Filter, um die Protokollierung auf das Wesentliche zu reduzieren. Im Artikel erklären wir an einem einfachen Beispiel, wie das unter Windows funktioniert und geben einen Überblick über Funktionen, die für die Malware-Analyse hilfreich sind.

Das war die Leseprobe unseres heise-Plus-Artikels "Process Monitor: Malware-Aktivitäten mit geeigneten Filtern aufdecken". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.